Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19
Plaintes en vertu de la Loi sur la protection des renseignements personnels
Le 29 mai 2023
Description
L’enquête a permis d’examiner si les données sur la mobilité recueillies et utilisées par l’Agence de la santé publique du Canada (ASPC) pour lutter contre la pandémie contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels (la Loi). Plus particulièrement, le Commissariat a examiné si l’ASPC et ses fournisseurs de données ont mis en œuvre des techniques de dépersonnalisation et des mesures de protection contre la repersonnalisation jugées suffisantes pour que le risque qu’un individu soit identifié demeure en dessous du seuil de « forte possibilité ».
Points à retenir
- La dépersonnalisation et l’agrégation des données sont deux techniques d’amélioration de la confidentialité, utiles pour la protection de la vie privée dans la mesure où elles réduisent le risque de repersonnalisation des données pour qu’il demeure en dessous des seuils acceptables.
- La dépersonnalisation est généralement insuffisante à elle seule pour garantir l’anonymisation des données. Elle doit être accompagnée de mesures additionnelles de prévention contre la repersonnalisation.
- L’agrégation de données doit porter sur un nombre suffisant d’individus pour réduire raisonnablement le risque d’extrapolation des données des individus.
- La transparence au sujet des fins auxquelles les renseignements personnels sont recueillis et utilisés est essentielle pour maintenir la relation de confiance entre les individus et les organisations qui recueillent et utilisent leurs données.
Rapport de conclusions
Aperçu
Le Commissariat à la protection de la vie privée du Canada (CPVP) a été saisi de 12 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels contre l’Agence de la santé publique du Canada (ASPC) et Santé Canada (SC) au sujet de la collecte et de l’utilisation des données sur la mobilité de la population canadienne, lesquelles comprennent des données de localisation recueillies au fil du temps et d’autres renseignements connexes.
Les plaignants allèguent que l’ASPC a secrètement recueilli des données provenant de 33 millions appareils mobiles pendant la pandémie de COVID-19 et que, selon une demande de proposition publiée en décembre 2021, elle prévoyait de continuer de recueillir les données sur la mobilité des Canadiennes et Canadiens au cours des 5 années suivantes.
L’ASPC a indiqué qu’elle s’est effectivement appuyée sur les données sur la mobilité d’un peu moins de 14 millions de Canadiennes et Canadiens pour obtenir des renseignements pertinents et des données utiles tirées d’analyses des déplacements des populations au Canada. Cette pratique a aidé à suivre la propagation de la COVID-19, et à planifier, évaluer et adapter la réponse du gouvernement pour lutter contre la pandémie.
L’ASPC a affirmé qu’elle s’est appuyée uniquement sur des données dépersonnalisées et agrégées, et qu’elle n’a jamais recueilli ou utilisé de renseignements permettant d’identifier une personne et que, par conséquent, la Loi sur la protection des renseignements personnels ne s’applique pas.
Dans le cadre de notre enquête, et à titre de condition d’analyse obligatoire, nous avons d’abord examiné si les données sur la mobilité recueillies et utilisées par l’ASPC pour lutter contre la pandémie contiennent des renseignements personnels au sens de l’article 3 de la Loi. Plus précisément, nous avons évalué dans les circonstances s’il y avait une forte possibilité qu’un individu puisse être identifié à l’aide des données sur la mobilité obtenues par l’ASPC, soit en les utilisant seules ou en combinaison avec d’autres renseignements disponibles. Notre enquête ne visait pas à évaluer si les fournisseurs de données de l’ASPC ont recueilli et utilisé les données de localisation conformément aux lois sur la protection des renseignements personnels.
Après analyse des observations reçues et examen des renseignements sur le sujet et sur le concept d’identification, nous avons conclu que les mesures de dépersonnalisation et de protection contre la repersonnalisation mises en œuvre par l’ASPC et ses fournisseurs de données ont réduit le risque qu’un individu puisse être identifié en dessous du seuil de « forte possibilité ». Par conséquent, nous estimons que les plaintes dans la présente affaire sont non fondées.
Malgré la conclusion de notre enquête selon laquelle l’ASPC n’a pas contrevenu à la Loi sur la protection des renseignements personnels en ce qui concerne la collecte et l’utilisation des données sur la mobilité durant la pandémie de COVID-19, nous avons formulé un certain nombre de recommandations à l’intention de l’ASPC en particulier, mais qui sont pertinentes et utiles pour toutes les organisations dont les activités consistent à produire, utiliser ou fournir des renseignements dépersonnalisés. Nous nous réjouissons de savoir que l’ASPC a accepté nos recommandations.
Contexte
- Le 31 décembre 2019, la présence d’un nouveau coronavirus, la COVID-19, a été signalée à Wuhan, dans la province chinoise de Hubei. La COVID-19 est très contagieuse et peut causer des maladies respiratoires graves et mortelles. Le 11 mars 2020, l’Organisation mondiale de la Santé (OMS) a qualifié la situation liée à la COVID-19 de pandémie mondiale.
- Selon les spécialistes de la santé, la COVID-19 se propage principalement par inhalation de gouttelettes respiratoires infectieuses, appelées aérosols, qui sont produites par des personnes infectées qui se trouvent à proximité. Les fonctionnaires de l’ASPC ont établi que l’obtention de « renseignements sur la mobilité » concernant les déplacements, les interactions et les rassemblements de la population aiderait à comprendre comment le virus peut se propager et se développer.
- Les données sur la mobilité sont également utiles pour planifier, surveiller, améliorer et évaluer l’efficacité de certaines mesures clés mises en œuvre par les autorités sanitaires pour lutter contre la pandémie (ordre de rester à la maison, quarantaine, confinement, etc.). Par exemple, le nombre de déplacements entre les villes est un indicateur de la façon dont celles-ci sont liées et, par conséquent, de la probabilité qu’une éclosion dans l’une des villes se propage à l’autre.
- Les renseignements sur la mobilité recueillis par l’ASPC sont tirés de données sur les déplacements des personnes au fil du temps (données sur la mobilité) qui, selon ce que l’ASPC a indiqué, ont été dépersonnalisées et agrégées. Ces renseignements ont été déduits à partir des données de localisation produites en permanence par les appareils et les équipements se trouvant souvent près de leurs utilisateurs. Les exemples les plus courants sont les téléphones cellulaires et les autres appareils comportant des plans de données.
- L’ASPC, comme certains de ses homologues internationaux, a recueilli des données sur la mobilité dans le cadre de sa lutte contre la pandémie de COVID-19. À cette fin, elle a recueilli des renseignements agrégés à partir de 2 types de flux de données, soit :
- Les données mobiles des stations cellulaires et des exploitants de réseaux, qui comprennent des enregistrements créés chaque fois qu’un téléphone se connecte à la tour d’un exploitant. L’ASPC a obtenu ce type de données de l’exploitant de réseau de télécommunications TELUS et a tiré parti de l’expertise en analyse de données du Centre de recherches sur les communications Canada (CRC) qui traitait les données de TELUS en vue de produire des rapports sur la mobilité et ainsi fournir des données et des statistiques agrégées aux scientifiques de l’ASPC aux fins d’analyse.
- Les données mobiles de localisation, qui sont les renseignements sur la position géographique transmis par une application installée sur un appareil mobile au moyen de la fonctionnalité GPS intégrée de l’appareil. L’ASPC a acquis cette catégorie de données auprès d’une société privée nommée BlueDot, qui l’avait elle-même obtenue auprès de 2 fournisseurs de données, soit Pelmorex et Veraset. Au cours des premiers mois de la pandémie, Santé Canada a établi un contrat avec BlueDot pour aider l’ASPC, qui a effectué la collecte réelle des données. Par la suite, le contrat a été transféré à l’ASPC et Santé Canada n’a pas participé à ce projet de quelque autre façon.
- TELUS a informé le CPVP de son programme « Les données au service du bien commun » et le CRC a avisé le Commissariat de l’intention de l’ASPC d’utiliser les données sous une forme dépersonnalisée et agrégée dans le cadre de la lutte du Canada contre la pandémie. Le CPVP a proposé les services de la Direction des services-conseils à l’entreprise et de la Direction des services-conseils au gouvernement pour examiner les moyens techniques utilisés pour dépersonnaliser les données et fournir des conseils. Le CRC et TELUS n’ont pas donné suite à la proposition du CPVP.
- Afin de déterminer les risques possibles d’atteinte à la vie privée associés à l’utilisation des données sur la mobilité de TELUS et à la publication des renseignements dérivés, la Division de la gestion de la protection des renseignements personnels (DGPRP) de l’ASPC a également effectué une analyse de la protection des renseignements personnels le 22 septembre 2020. À la suite de l’analyse, la DGPRP a conclu que puisque les données transmises par TELUS à l’ASPC sont dépersonnalisées et agrégées, elles ne concernent pas des individus identifiables et, par conséquent, la Loi sur la protection des renseignements personnels ne s’applique pas. Par la suite, l’ASPC a conclu un contrat avec TELUS et BlueDot en vue d’obtenir les données sur la mobilité agrégées et dépersonnalisées qu’elle a utilisées pour obtenir des renseignements sur les déplacements de la population canadienne.
- Le 17 décembre 2021, quelques mois après l’expiration du contrat avec TELUS, l’ASPC a publié une demande de propositionNote de bas de page 1 (DP) visant à acquérir les données mobiles des exploitants de réseaux pour ainsi continuer à exploiter cette catégorie de données qui lui permet d’obtenir des renseignements sur la mobilité. Dans la foulée de la publication de la DPNote de bas de page 2 sur le site Web d’approvisionnement public, des articles des médias ont soulevé des préoccupations en matière de protection de la vie privée en ce qui concerne l’utilisation des données sur la mobilité. Le CPVP a par la suite reçu 12 plaintes à cet égard.
- Le 13 janvier 2022, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) a adopté une motion visant à entreprendre une étude sur la collecte et l’utilisation des données sur la mobilité par le gouvernement du Canada. Le Comité ETHI a publié un rapport connexe en mai 2022 et y a recommandé, entre autres choses, que les organismes gouvernementaux soient transparents lorsqu’ils exploitent le potentiel des mégadonnées dans le cadre de leurs activités et que les lois fédérales sur la protection des renseignements personnels soient modernisées pour encadrer adéquatement l’utilisation de données dépersonnalisées et agrégées.
Analyse
Question en litige: L’ASPC n’a pas recueilli de renseignements personnels au sens de la Loi
- L’article 3 de la Loi sur la protection des renseignements personnels définit les renseignements personnels comme des renseignements « concernant un individu identifiable ».
- Dans l’affaire Gordon c. Canada (Santé), 2008 CF 258, la Cour fédérale a indiqué dans sa décision que les renseignements seront des renseignements concernant un individu identifiable lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sourcesNote de bas de page 3.
- Par conséquent, nous avons examiné la mesure dans laquelle les données recueillies par l’ASPC peuvent être liées à des individus identifiables, directement ou indirectement, par déduction ou lorsqu’elles sont combinées à des données d’autres sources. Pour les motifs énoncés ci-dessous, nous avons conclu qu’en raison de la dépersonnalisation des données et de l’ensemble des mesures de protection prises en l’espèce pour réduire le risque de repersonnalisation, il n’existe pas de forte possibilité que les renseignements recueillis par l’ASPC et ceux recueillis par le CRC en son nom puissent permettre d’identifier un individu.
- À cette fin, nous avons examiné chaque flux de données séparément et nous avons analysé pour chacun d’entre eux i) les données auxquelles le CRC, au nom de l’ASPC, a pu accéder dans les systèmes des fournisseurs de données et ii) les données que le CRC et l’ASPC ont pu télécharger et stocker dans leurs propres systèmes. Cette segmentation était nécessaire parce que le degré de dépersonnalisation des données ainsi que les mesures de protection contre la repersonnalisation sont différentes dans chaque flux de données et à chaque étape.
- Dans le cadre de notre analyse d’enquête, nous nous sommes fondés sur i) les observations reçues de l’ASPC, ii) les renseignements et les directives sur l’anonymisation et iii) les travaux du Comité ETHI. Comme TELUS, BlueDot et le CRC sont des tiers concernés par l’enquête, nous leur avons également demandé de fournir leurs observations, ce qu’ils ont fait.
La dépersonnalisation et le risque résiduel de repersonnalisation
- La dépersonnalisation peut comporter un risque résiduel de repersonnalisation des individus qui repose sur de nombreux facteurs. Ces derniers sont soit i) intrinsèques aux données elles-mêmes et aux techniques de dépersonnalisation, soit ii) externes et reposant sur des facteurs secondaires, notamment :
- la disponibilité de données supplémentaires qui peuvent être comparées aux données dépersonnalisées;
- les personnes qui ont accès aux données, les fins auxquelles elles y ont accès, leur motivation à les repersonnaliser et le fait qu’elles soient au courant que les renseignements d’un individu donné y sont inclus;
- l’expertise et les ressources utilisées dans le processus de repersonnalisation.
- En effet, de multiples études et recherches ont prouvé qu’il est possible de repersonnaliser des données qui avaient été diffusées publiquement dans un format dépersonnalisé. C’est notamment le cas de l’étude sur NetflixNote de bas de page 4 et des données diffusées par AOLNote de bas de page 5.
- Dans l’étude sur Netflix, les chercheurs ont démontré qu’une personne malveillante ayant accès à des renseignements distincts sur un individu peut facilement trouver ses enregistrements dans la base de données Netflix Prize, qui contient les évaluations accordées aux films par les abonnés. Dans l’exemple de la diffusion du registre de recherche d’AOL, il a été démontré que la simple suppression des identifiants des utilisateurs n’est pas toujours suffisante pour anonymiser correctement les données.
- De plus, le risque de repersonnalisation n’est pas une considération immuable; il peut augmenter au fil du temps avec l’amélioration des techniques de repersonnalisation et la disponibilité de ressources et de données supplémentaires qui peuvent être liées aux données dépersonnalisées.
- Pour les motifs qui précèdent, quantifier définitivement le risque de repersonnalisation demeure un exercice complexe. Dans plusieurs exemples tirés de la littérature sur le sujet, on propose des méthodes de calcul qui ne sont pas déterministes, mais qui reposent plutôt sur des calculs probabilistes basés sur plusieurs facteurs hypothétiques et le type de cyberattaque visant la repersonnalisation.
La Loi sur la protection des renseignements personnels ne comprend pas de dispositions propres aux données dépersonnalisées ou anonymisées
- La Loi ne traite pas expressément la question des données dépersonnalisées ou anonymisées. Ses dispositions s’appliquent uniformément à la collecte, à l’utilisation et à la communication, par les institutions fédérales assujetties à la Loi, de renseignements qui respectent le critère d’être des « renseignements personnels ». Par conséquent, la première question à trancher en l’espèce est celle de déterminer si l’ASPC (y compris le CRC agissant en son nom) a recueilli des renseignements qui satisfont le critère mentionné précédemment. Si c’est le cas, il serait alors nécessaire de déterminer si la collecte et toute utilisation ou communication en découlant étaient conformes aux dispositions de la Loi. Si les renseignements ne respectent pas le critère d’être des « renseignements personnels », la Loi ne s’applique pas.
- Il convient de noter que le Commissariat a demandé que des modifications législatives soient apportées pour permettre une approche plus nuancée quant au traitement et à la gouvernance des renseignements dépersonnalisés, et ainsi tenir compte à la fois de la nature potentiellement confidentielle de l’utilisation de données dépersonnalisées et des risques inhérents à la repersonnalisation. Compte tenu de l’importance et de l’utilité de ce concept, nous avons exploré plus en profondeur les questions connexes dans la section « Autre » du présent rapport.
L’accès aux données du système de TELUS constitue-t-il une « collecte » au sens de la Loi?
- À titre préliminaire, nous avons examiné dans le cas présent ce qui constitue une « collecte » aux fins d’application de la Loi. Comme indiqué dans la section « Contexte », le CRC, au nom de l’ASPC, avait accès dans le système de TELUS à certaines données individuelles, mais il ne pouvait télécharger que des données agrégées.
- Il est évident que lorsqu’une copie des renseignements est sauvegardée dans les systèmes de gestion de l’information d’une institution (c.-à-d. dans la boîte de courriels d’un employé, dans son système de gestion des documents, sur papier, etc.), les renseignements ont fait l’objet d’une collecte. De même, si des renseignements sont enregistrés sur une autre plateforme, mais dans un compte sous le contrôle d’un employé d’une institution agissant à titre professionnel, ils sont de toute évidence recueillis par cette institution. Si l’employé d’une institution, dans le cadre de son travail, voit (ou entend) des renseignements, mais n’en conserve aucune copie physique ou virtuelle, il pourrait être moins évident de déterminer si les renseignements sont recueillis par l’institution. Dans le cas présent, les représentants de l’ASPC et du CRC ont non seulement consulté des données de TELUS, mais ont aussi enregistré les résultats agrégés de leurs requêtes.
- Même si des renseignements sont consultés, mais qu’ils ne font pas l’objet d’une collecte, il peut néanmoins y avoir une « utilisation » ultérieure de ceux-ci aux fins de la Loi. Cela peut se produire lorsque des renseignements sont brièvement examinés – par exemple, lorsqu’on inspecte visuellement la pièce d’identité d’un individu pour s’assurer qu’il est majeur avant de lui autoriser l’accès à un lieu ou, comme en l’espèce, lorsque des données individuelles sont examinées afin d’établir les paramètres appropriés pour télécharger les renseignements agrégés. Autrement dit, nous estimons que les renseignements contenus dans les systèmes de TELUS, examinés par le CRC au nom de l’ASPC aux fins décrites ci-dessus, ne sont pas automatiquement exclus du champ d’application de la Loi.
- Afin de déterminer si ces renseignements et ceux téléchargés par la suite sous forme agrégée constituent des renseignements « personnels », nous avons pris en compte des résultats de recherches, des directives et des normes de pratique concernant la dépersonnalisation et d’autres mécanismes de protection contre l’identification des individus. Ces sources comprenaient l’avis de mise en œuvre de la protection des renseignements personnels 2020-03 du Secrétariat du Conseil du Trésor, d’autres normes de l’industrie dans le domaine de la santé et des recherches axées sur les données sur la mobilité.
Établir une protection adéquate contre le risque de repersonnalisation
- Aux fins du présent rapport, le terme « dépersonnalisation » désigne un processus par lequel tous les éléments permettant d’établir l’identité d’un individu, comme le nom, le numéro de téléphone ou l’identifiant d’un appareil dans un contexte de données sur la mobilité, sont retirés des données personnelles (et souvent remplacés par un identifiant attribué de manière aléatoire).
- Selon des recherches récentes, la dépersonnalisation dans le cas des données sur la mobilité est insuffisante à elle seule pour faire en sorte que les données ne permettent plus d’établir l’identité d’un individu et soient en dehors du champ d’application de la Loi. Les données sur la mobilité permettent de révéler l’emplacement géographique où une personne ou un appareil a été à divers moments. Selon les circonstances, ces données peuvent être utilisées pour déduire de l’information concernant l’utilisateur d’un appareil, comme son lieu de travail ou son domicile. Cette information pourrait à son tour être comparée à d’autres renseignements facilement accessibles pour lier les données dépersonnalisées à un individu identifiable puis recueillir des renseignements sur les autres endroits qu’il a visités. En ce qui a trait à la précision de la technologie, une étudeNote de bas de page 6 menée sur 1,5 million d’utilisateurs d’un exploitant de téléphonie mobile dans un pays occidental a permis de conclure que 4 points spatio-temporels sont suffisants pour identifier 95 % des individus étant donné que les déplacements des individus sont assez uniques et réguliers.
- Pour qu’une organisation évite de recueillir des renseignements personnels dans un contexte de données sur la mobilité, nous nous attendons donc qu’elle s’assure qu’un nombre suffisant de protections supplémentaires contre la repersonnalisation soient mises en œuvre, en plus des mesures de dépersonnalisation.
- Il existe divers types de protections contre la repersonnalisation, et de nouvelles techniques pourraient également être développées à l’avenir. Deux types de protection courants, tous deux utilisés dans le cas présent, sont i) les protections contractuelles et matérielles concernant l’accès et l’utilisation, et ii) l’agrégation des données.
- Les protections contractuelles et matérielles concernant l’accès et l’utilisation réduisent le risque de repersonnalisation des données dépersonnalisées en limitant le nombre de personnes ou d’organisations pour lesquelles il serait possible de tenter une repersonnalisation des données et en limitant la probabilité qu’elles tentent de le faire.
- L’agrégation des données réduit le risque de repersonnalisation de celles-ci, et ce, en combinant les données de plusieurs individus de sorte que les données propres à un individu soient obscurcies.
- En règle générale, pour que les renseignements soient considérés comme n’étant pas personnels et qu’ils soient donc en dehors du champ d’application de la Loi, les conditions suivantes doivent être remplies :
- Lorsqu’une institution a accès à des données sur la mobilité correctement dépersonnalisées, il faut mettre en place des protections contractuelles et matérielles efficaces pour a) limiter l’accès à ces données à un nombre restreint de personnes et b) limiter les fins pour lesquelles les personnes sont autorisées à utiliser les données (c.-à-d. ne pas autoriser les tentatives de repersonnalisation des données). Dans le cas de l’option b), les protections devraient au minimum inclure une exigence contractuelle interdisant les tentatives de repersonnalisation des données et des contrôles de sécurité tels que la capacité de mener des vérifications et la surveillance de l’accès aux données et de leur utilisation pour prévenir les tentatives non autorisées de repersonnalisation de celles-ci.
- Lorsqu’une institution a accès à des données agrégées sur la mobilité, a) les données d’un nombre suffisant d’individus sont regroupées dans chaque cellule pour réduire raisonnablement le risque d’extrapoler les données d’un seul individu (conformément aux directives actuelles sur les statistiques ou aux avis d’experts), et b) l’accès aux renseignements agrégés est contrôlé comme c’est le cas ci-dessus pour l’accès aux données dépersonnalisées.
- En ce qui concerne la taille recommandée pour les cellules, l’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes stipule qu’« il n’existe aucune taille de cellule minimale qui convienne à la diffusion de tous les types de données, et les politiques du Secrétariat du Conseil du Trésor du Canada (SCT) ne précisent aucune taille de cellule minimale obligatoire. Cela étant dit, les pratiques exemplaires ci-après pourraient servir de point de départ à la réalisation d’une analyse au cas par cas. L’utilisation de cellules d’une taille minimale de 10 est souvent citée comme pratique exemplaire pour la diffusion de données publiques moins sensibles, et de cellules de taille minimale de 20 pour les données plus sensibles ».
- Les sections suivantes décriront comment l’ASPC et ses fournisseurs de données ont appliqué les mesures de protection mentionnées précédemment à chaque flux de données sur lequel ils se sont appuyés pour obtenir des renseignements sur la mobilité.
Flux de données 1 : Données mobiles des stations cellulaires et des exploitants de réseaux
- L’interaction entre les téléphones cellulaires et les stations cellulaires de télécommunications est indispensable pour veiller au bon fonctionnement du réseau de télécommunications et offrir des services aux utilisateurs mobiles. En effet, tous les téléphones cellulaires génèrent et transmettent régulièrement des données à une station cellulaire se trouvant à proximité lorsque, entre autres, ils établissent une connexion à celle-ci ou utilisent les services sans fil de l’exploitant pour effectuer ou recevoir des appels et des messages texte et consulter Internet. La fréquence des interactions dépend de l’utilisation du téléphone. Normalement, un téléphone transmet un message lorsqu’il se rapproche d’une nouvelle station, lorsque son état de connexion change et lorsqu’il doit établir des connexions pour accéder à des services mobiles. La plupart des téléphones transmettent également à la station cellulaire un nombre restreint de messages lorsqu’ils sont stationnaires et inactifs.
- Par conséquent, comme les stations cellulaires ont des coordonnées précises de latitude et de longitude qui permettent de déduire l’emplacement et les déplacements des téléphones cellulaires qu’ils servent et avec lesquels elles interagissent, les exploitants de réseaux de télécommunications peuvent ainsi recueillir ces renseignements sur leurs clients et les enregistrer (c.-à-d. le module d’identité d’abonné [SIM], l’horodatage et l’emplacement de la station servant le client).
- TELUS a indiqué qu’elle reconnaissait l’utilité des données sur la mobilité, notamment pour lutter contre une crise sanitaire mondiale comme la pandémie de COVID-19. En 2015, l’entreprise a commencé à développer une plateforme d’analyse de données, appelée « Insights de TELUS », conçue pour générer des renseignements exploitables à partir de données dépersonnalisées sur les déplacements des clients.
- Peu après le début de la pandémie de COVID-19, TELUS a lancé en avril 2020 un programme intitulé « Les données au service du bien commun ». Ce programme utilise les données de la plateforme Insights de TELUS, qui a obtenu la certification Privacy by Design. L’ASPC a choisi de tirer parti du programme de TELUS et a signé un contrat avec TELUS le 10 février 2021. Elle a par la suite signé le 5 juillet 2021 un protocole d’entente (PE) avec le CRC pour tirer parti de l’expertise du CRC en matière d’analyses sur la mobilité utilisant des données de localisation. Le contrat et le PE ont tous deux pris fin le 8 octobre 2021.
- TELUS et le CRC ont informé le Commissariat que, puisque les données de la plateforme Insights de TELUS sont recueillies en utilisant l’emplacement des stations cellulaires plutôt que celui des appareils mobiles, elles ne permettent pas de déterminer précisément où pourrait se trouver un appareil donné. Des renseignements sur les déplacements sont déduits lorsqu’un appareil mobile passe d’une zone de station cellulaire à une autre, et ne le sont plus lorsque l’appareil mobile reste connecté à la même station pendant plus de 30 secondes. Ainsi, selon la couverture des stations cellulaires dans la région, les données de localisation sont estimées à un diamètre physique allant de 70 km (dans les zones rurales) à 100 m (le plus petit diamètre possible). Cela étant dit, puisque les stations cellulaires qui transmettent les données ne sont pas les mêmes que celles qui transmettent la voix, il est parfois possible de déterminer l’emplacement d’un appareil avec plus de précision. Comme les utilisateurs ont souvent accès aux 2 services, leur emplacement peut être déterminé plus précisément lorsqu’ils se trouvent dans la portée de 2 stations cellulaires ou plus.
Dépersonnalisation préalable
- Tous les identifiants directs (MSISDNNote de bas de page 7, IMEINote de bas de page 8, IMSINote de bas de page 9) se trouvant sur la plateforme Insights de Telus sont supprimés ou transformés par TELUS avant que des tiers, y compris le CRC au nom de l’ASPC, n’aient accès aux données, de sorte que les données de la plateforme Insights ne peuvent pas être liées à un individu. Plus précisément, chaque identifiant est haché plusieurs fois à l’aide de la fonction de hachage SHA-256, laquelle permet le hachage cryptographique qui transforme les données d’entrée (le message), quelle que soit leur taille, en un nombre fixe de chiffres appelé « code haché », « condensé » ou « empreinte numérique ». Elle est considérée comme une fonction unidirectionnelle, car il est presque impossible de revenir aux données d’origine au moyen du condensé.
- Les données accessibles sur la plateforme de TELUS portent sur 9 millions d’appareils et comprennent : les données des identifiants hachés, des horodatages, du pays et de l’indicatif régional de l’appareil; l’identifiant de la cellule du réseau (indique la zone de la station cellulaire auquel l’appareil a été connecté), l’heure à laquelle l’appareil a été vu en premier et en dernier sur la station cellulaire, la durée de la connexion à cette station cellulaire, et les coordonnées géographiques approximatives de la station.
Contrôle de l’accès et minimisation des données
- TELUS a indiqué que les données dépersonnalisées de la plateforme Insights sont bien protégées, et ce, grâce à des contrôles physiques, administratifs et techniques, notamment des contrôles du service de nuage privé virtuel pour veiller à ce que l’accès soit limité aux utilisateurs autorisés, ainsi que des analyses régulières des vulnérabilités, notamment la journalisation et la surveillance des activités sur la plateforme Insights. TELUS a également expliqué que les données dépersonnalisées sur la mobilité qui sont intégrées à la plateforme Insights sont associées à un contexte spatio-temporel d’au moins 15 minutes et qu’elle examine chaque demande visant l’accès aux données du programme « Les données au service du bien commun », y compris celles visant des cas d’utilisation, pour déterminer les « modèles d’affichage de données » qui seront mis à la disposition des experts en sciences des données autorisés.
- Dans le cas de l’ASPC, 5 employés du CRC et 2 employés de l’ASPC ont été autorisés à accéder aux données granulaires concernant les appareils de la plateforme Insights de TELUS, et ce, en utilisant un système d’authentification à 2 facteurs.
Le modèle de l’enclaveNote de bas de page 10
- Dans le modèle de l’enclave, les données peuvent être conservées dans une sorte d’enclave isolée qui limite l’exportation des données d’origine, et permet à la place l’acceptation des requêtes de chercheurs qualifiés, l’exécution des requêtes sur des données dépersonnalisées, et l’envoi des résultatsNote de bas de page 11 obtenus.
- TELUS utilise un modèle semblable – les renseignements provenant des appareils, même s’ils sont dépersonnalisés, ne peuvent pas être copiés à l’extérieur de la plateforme de TELUS. Au contraire, selon les rapports sur la mobilité qui intéressent l’ASPC, le CRC exécute les requêtes sur les données granulaires dépersonnalisées des appareils. Les résultats agrégés générés par les requêtes sont ensuite stockés dans une table hébergée dans le nuage de TELUS.
- L’accès à la plateforme Insights de TELUS et son utilisation sont encadrés et supervisés. Ainsi, avant d’approuver le transfert des données agrégées de la table créée vers le nuage du CRC et, par la suite, vers le nuage de l’ASPC, TELUS examine les données générées pour veiller à ce que les niveaux de protection requis contre la repersonnalisation des données soient respectés.
Agrégation des données
- L’examen de TELUS confirme que seuls des dénombrements agrégés sont inclus. Par exemple, les données sont triées par région de tri d’acheminement (RTA) (au lieu du code postal complet) ou par aire de diffusion de Recensement du Canada, et seuls les dénombrements agrégés relatifs à plus de 20 appareils sont inclus. Les observations de l’ASPC transmises au Commissariat ont permis de confirmer que les résultats sont regroupés géographiquement (au minimum selon les subdivisions de recensement), temporellement (période d’au moins 24 heures) et pour un minimum de 20 appareils.
- Les données agrégées importées par l’ASPC (ou le CRC) sont ensuite utilisées pour calculer différents indicateurs de mobilité qui révèlent les déplacements de la population sur une période de 24 heures selon différentes régions géographiques (province ou territoire, région sanitaire, région métropolitaine de recensement ou subdivision de recensement). Parmi les indicateurs de mobilité, mentionnons les percentiles regroupés de la distance maximale parcourue, la distance maximale parcourue à partir de chez soi, la distance totale parcourue, le pourcentage de temps passé à une distance déterminée du domicile ou à l’intérieur de celle-ci, et les pourcentages d’appareils qui ont été déplacés entre différentes zones géographiques.
Protection contre la repersonnalisation dans le flux de données de TELUS
- Afin de réduire le risque de repersonnalisation des données sur la mobilité utilisées par l’ASPC pendant la pandémie de COVID-19, TELUS, le CRC et l’ASPC ont inclus diverses mesures de protection dans ce flux de données, à savoir :
- Dépersonnalisation préalable – TELUS chiffre tous les identifiants des appareils avant de charger les données sur la mobilité de ses clients dans la plateforme Insights. Par conséquent, les renseignements auxquels le CRC a accédé au nom de l’ASPC dans la plateforme Insights de TELUS ne contenaient aucun identifiant direct.
- Agrégation des données – Le CRC n’est autorisé à importer que les données agrégées à partir de la plateforme Insights de TELUS, et aucune donnée granulaire provenant des appareils, même si elle est dépersonnalisée, ne peut être copiée à l’extérieur de la plateforme de TELUS. Plus précisément, les données que le CRC a importées au nom de l’ASPC ont été regroupées spatialement (au minimum selon les subdivisions de recensement), temporellement (pour qu’elles portent sur une période d’au moins 24 heures) et pour des cellules (qui contiennent au moins 20 appareils). Cette taille de cellule minimale est conforme aux directives du SCT en la matière. De plus, elle est supérieure au seuil minimum (11) qui a été établi dans le rapport d’expertNote de bas de page 12 présenté dans le cadre d’une affaireNote de bas de page 13 devant le tribunal qui traitait du risque de repersonnalisation des données.
- Modèle de communication – Le programme « Les données au service du bien commun » de TELUS représente une communication de données non publique, ce qui limite l’accès à l’ensemble des données à un certain nombre de destinataires déterminés. Afin de pouvoir accéder aux données, les destinataires doivent accepter les modalités relatives à la confidentialité et à la sécurité des données énoncées dans une entente de partage des données. Dans le cas présent, les modalités exigeaient que les utilisateurs de l’ASPC et du CRC ayant accès aux données ne tentent pas de les repersonnaliser.
De plus, l’accès à la plateforme Insights de TELUS est encadré et supervisé. TELUS examinait les demandes visant à extraire et à télécharger les renseignements obtenus afin de veiller à ce que les règles de confidentialité soient respectées et d’atténuer encore davantage tout risque de repersonnalisation des données avant d’autoriser leur exportation. Enfin, seuls certains employés autorisés du CRC et de l’ASPC peuvent accéder aux données sur la mobilité fournies par TELUS et les utiliser, et TELUS a établi des contrôles de surveillance pour examiner les accès et les journaux de téléchargement et ainsi assurer la conformité aux politiques et aux protocoles. - Clauses contractuelles – L’ASPC et TELUS ont toutes les deux inclus, dans le contrat régissant leur relation commerciale, des dispositions contraignantes visant à n’utiliser que les renseignements dépersonnalisés. Plus précisément, dans l’énoncé des travaux du contrat que l’ASPC a adressé à TELUS, cette dernière était tenue de fournir à l’ASPC un accès aux renseignements dépersonnalisés garantissant l’anonymisation des données afin de générer des indicateurs et des renseignements agrégés sur les déplacements des individus au Canada.
De même, les modalités de communication des données de TELUS stipulent que l’ASPC ne doit pas utiliser les données obtenues à d’autres fins que celle qui est précisée dans le contrat, et qu’elle ne peut pas corréler ou combiner les données obtenues avec d’autres sources de données, ni les associer ou les lier à celles-ci, à l’exception des cas énoncés dans une annexe à laquelle TELUS aurait consenti par écrit. De plus, ces modalités exigent que l’ASPC veille à ce qu’aucun de ses représentants ne tente d’établir un lien entre les données obtenues et un individu identifiable. TELUS a confirmé qu’elle n’avait permis à l’ASPC de corréler les données agrégées sur la mobilité téléchargées qu’avec les données de recensement au niveau des régions sanitaires et des RTA.
Flux de données 2 : Données mobiles de localisation
- En plus de s’appuyer sur les données provenant des stations cellulaires, l’ASPC s’est fiée à d’autres sources pour obtenir des renseignements sur les déplacements des Canadiennes et des Canadiens. Plus précisément, elle a utilisé les données de localisation, lesquelles sont généralement recueillies à l’aide d’applications mobiles, de trousses de développement logiciel (trousses SDK) visant le repérage par GPS, de Bluetooth, de publications géolocalisées sur les médias sociaux, etc.
- Les applications mobiles offrent une vaste gamme de services du secteur privé (météo, conditionnement physique, courriel, cartes, etc.). Certaines applications collectent les données de localisation d’un téléphone en temps réel au moyen du système GPS intégré du téléphone; le propriétaire de l’application peut alors accéder à ces données et les communiquer à des tiers.
- L’ASPC a signé un contrat avec BlueDot pour obtenir des données de localisation entre le 26 mars 2020 et le 20 mars 2022. BlueDot a à son tour acquis cette catégorie de données auprès de 2 fournisseurs, soit 1) Pelmorex Corp., une société canadienne de renseignements météorologiques et de médias qui recueille les données de localisation par l’intermédiaire de ses applications mobiles gratuites comme l’application Météo Média, et 2) Veraset LLC, une société américaine qui vend des données brutes et traitées sur les déplacements qu’elle acquiert auprès de tiers et d’autres agrégateurs et à partir des trousses SDK et de ses relations directes avec d’autres applications.
- En vertu des lois canadiennes sur la protection des renseignements personnels dans le secteur privé, la collecte de renseignements de localisation d’un téléphone et toute communication subséquente à un tiers de données permettant d’identifier un individu nécessiteront généralement le consentement valide de l’utilisateur. Pelmorex collecte les données de localisation (horodatage de la collecte, coordonnées géographiques et identifiant de l’utilisateur sous forme de pseudonyme) directement auprès des utilisateurs de ses applications. Selon BlueDot, Pelmorex obtient le consentement des utilisateurs pour la collecte de ces données (qu’elle utilise pour fournir les services météorologiques de l’application) et ne communique à BlueDot que les données agrégées sur la mobilité et non des renseignements personnels.
Dépersonnalisation préalable
- Selon sa politique de confidentialité, Veraset recueille des renseignements auprès de tiers qu’elle décrit comme étant « de confiance ». Cela dit, la politique ne définit pas et ne précise pas comment les tiers de confiance obtiennent le consentement des utilisateurs avant la collecte.
- Veraset fournit des données granulaires à BlueDot; elle affirme toutefois qu’elle en supprime au préalable les identifiants personnels directs et qu’elle ajoute dans son contrat avec BlueDot une clause selon laquelle l’entreprise ne doit pas tenter de repersonnaliser les individus.
Agrégation des données
- Une fois qu’elle a reçu les données, BlueDot envoie certaines données pré-agrégées directement à l’ASPC sans traitement supplémentaire, alors que pour d’autres données, principalement celles qui sont granulaires au niveau des appareils, BlueDot les regroupe spatialement selon l’unité géographique du secteur de recensement ou de la subdivision de recensement, ou temporellement sur une période de 24 heures avant de les envoyer à l’ASPC.
- Ci-après des exemples de renseignements sur la mobilité que l’ASPC reçoit de BlueDot pour estimer les taux de contact au sein de la population canadienne : i) le nombre d’appareils se trouvant à certains points d’intérêt (parcs, hôpitaux, magasins de détail, etc.), ii) les statistiques agrégées sur la distance parcourue autour de l’emplacement principal des appareils, iii) les déplacements entre les régions géographiques du Canada et iv) l’affluence en provenance des États-Unis et d’autres pays.
- BlueDot a indiqué que son entente avec l’ASPC stipule que les données fournies à l’agence de santé seront agrégées, mais sans préciser la taille minimale des cellules pour les données agrégées (c.-à-d. le nombre minimal d’appareils qui devrait figurer dans chaque indicateur). Elle a néanmoins expliqué qu’elle avait décidé, en avril 2020, de s’appuyer sur le précédent de Statistique Canada consistant à exclure les données reposant sur moins de 5 mesures et que, le 17 janvier 2022, l’ASPC a demandé que les indicateurs reposant sur moins de 20 appareils soient exclus.
Contrôle de l’accès
- Les données agrégées du flux de données de BlueDot sont soit téléversées directement dans le nuage de l’ASPC, soit incluses dans des rapports écrits envoyés par courriel à l’agence. Les personnes autorisées de l’ASPC peuvent également accéder à des renseignements semblables au moyen d’un « tableau de bord de la mobilité » élaboré par BlueDot.
Protection contre la repersonnalisation dans le flux de données de BlueDot
- Selon les observations et les échantillons de données de BlueDot, ce flux de données comprend plusieurs couches qui augmentent le niveau de dépersonnalisation des données et, par conséquent, réduisent le risque connexe qu’elles soient repersonnalisées, notamment :
- Dépersonnalisation préalable – BlueDot n’a pas reçu de renseignements pouvant être directement associés à des individus identifiables, car les données i) sont pré-agrégées ou ii) incluent uniquement un identifiant d’appareil haché lorsqu’elles sont granulaires au niveau des appareils.
- Agrégation des données – BlueDot ne transmet à l’ASPC que des données agrégées; elle ne lui transmet jamais les données granulaires des appareils. Plus précisément, les données fournies à l’ASPC comprenaient i) le nombre d’appareils qui ont visité certains points d’intérêt, ii) les indicateurs de mobilité (percentile de la distance maximale et totale parcourue, pourcentage du temps où une personne est à son domicile et en dehors de celui-ci) dans les unités de recensement, les régions sanitaires et les provinces, iii) le nombre d’appareils qui se sont déplacés entre 2 régions sanitaires du Canada et iv) le nombre d’appareils qui sont arrivés au Canada en provenance d’un point névralgique de la pandémie mondiale. Les statistiques précédentes ont toutes été calculées sur une période de 24 heures et pour les cellules dont la taille minimale était de 5 appareils et, par la suite (à partir du 18 janvier 2022), de 20 appareils. Comme expliqué précédemment, cette taille minimale de cellule est conforme aux directives du SCT en la matière et supérieure au seuil minimal (11) qui a été établi dans le rapport d’expert présenté dans le cadre d’une affaire devant les tribunaux qui traitait du risque de repersonnalisation des données.
- Clauses contractuelles –L’énoncé des travaux que BlueDot a reçu de l’ASPC, exige de BlueDot qu’elle analyse « anonymement » les données dont elle dispose pour aider l’ASPC à régler des questions précises liées à la distanciation physique, à l’auto-isolement à domicile, et aux déplacements en provenance et à destination d’établissements de soins de santé partout au pays, et ce, en plus d’effectuer d’autres analyses liées à la propagation de la COVID-19. BlueDot a également précisé qu’il lui est interdit par contrat de tenter de repersonnaliser les données des appareils qu’elle reçoit de Veraset.
- Modèle de communication – L’ASPC n’a pas eu accès aux données brutes du système de BlueDot. BlueDot a plutôt préparé des ensembles de données agrégées qu’elle a ensuite téléversés dans le nuage de l’ASPC et a fourni à celle-ci un rapport hebdomadaire ou bimensuel. Le tableau de bord de mobilité de BlueDot auquel l’ASPC pouvait accéder contient les mêmes indicateurs de mobilité que ceux qui ont été transmis à l’ASPC par courriel ou dans le cadre du téléversement dans le nuage. De plus, seuls les employés autorisés de l’ASPC peuvent accéder à l’ensemble de données téléversées dans son système infonuagique.
Protection dans les 2 flux de données qui réduisent la forte possibilité qu’il y ait un risque d’identifier des individus
- La dépersonnalisation est largement reconnue dans le monde entier, y compris par le Commissariat, comme un outil qui pourrait contribuer à la protection des renseignements personnels tout en apportant les avantages associés aux mégadonnées. Étant donné les avantages associés aux renseignements sur la mobilité pour comprendre et freiner la propagation de la COVID-19, cet outil a été particulièrement pertinent pendant la pandémie actuelle.
- À des fins de protection, dans le cas visé par la présente enquête, TELUS et Veraset se sont appuyées sur un algorithme puissant (SHA-256) pour hacher les identifiants directs et dépersonnaliser les données granulaires au niveau des appareils. De plus, l’accès par l’ASPC et le CRC aux renseignements granulaires des appareils n’est pas autorisé (flux de données de BlueDot) ou est supervisé et contrôlé (flux de données de TELUS).
- Dans les 2 flux de données, les renseignements sous le contrôle de l’ASPC ou du CRC ont été regroupés selon plusieurs critères, temporellement ou spatialement, et avec des tailles de cellules minimales comprises entre 5 et 20 (un minimum accepté et recommandé par de nombreux experts au Canada). Ces mesures ont permis d’augmenter le degré d’anonymat des données figurant dans les ensembles de données sous le contrôle de l’ASPC ou du CRC.
- En outre, seuls quelques employés de l’ASPC et du CRC ont été autorisés à accéder aux données sur la mobilité, que ce soit les données granulaires des appareils, celles en mode « lecture seule » ou celles sous forme agrégée.
- Enfin, l’ASPC et ses épidémiologistes dans le cadre de ce projet étaient à la recherche de macro-tendances sur les déplacements de la population et ne participaient pas au traçage des contacts. Par conséquent, l’ASPC n’avait aucun intérêt à repersonnaliser les données, ce qui se reflète expressément dans ses contrats et dans la DP connexe.
- Comme il est expliqué en détail au paragraphe 32, dans le cas présent, pour que les renseignements soient considérés au titre de la Loi comme n’étant pas personnels aux fins de la collecte de données correctement dépersonnalisées par une institution fédérale, les conditions suivantes doivent être remplies : i) des protections contractuelles et matérielles efficaces sont en place et ii) des contrôles d’accès et des niveaux acceptables pour l’agrégation des données sont établis.
- À la lumière de ce qui précède, des pratiques acceptées dans ce domaine et des mesures prises contre le risque que l’ASPC puisse identifier un individu, nous estimons qu’il n’y a pas de forte possibilité que l’information recueillie par l’ASPC puisse permettre l’identification des individus. Par conséquent, les plaintes sont non fondées.
Autre
- Le CPVP soutient généralement l’utilisation de l’anonymisation et de la dépersonnalisation à titre de technique d’amélioration de la confidentialité pour déduire des connaissances à partir des données tout en réduisant les risques d’atteinte à la vie privée. En effet, le Commissariat a publié en avril 2020 le « Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée ». Dans ledit cadre, on a encouragé les organisations à utiliser des données dépersonnalisées et agrégées autant que possible tout en mettant en garde qu’il existe un risque résiduel de repersonnalisation.
- Toutefois, la dépersonnalisation est un domaine de recherche actif et aucune méthode n’a encore été trouvée pour éliminer les risques de repersonnalisation et d’atteinte à la vie privée qui en résultent. Cette situation souligne l’importance que les lois sur la protection des renseignements personnels soient modernisées pour traiter expressément les renseignements personnels dépersonnalisés.
- La Loi traite les renseignements personnels comme un concept binaire et, par conséquent, ne tient pas pleinement compte des nuances associées aux renseignements personnels qui ont été dépersonnalisés. En tant que technique de gestion de l’information, la dépersonnalisation est souvent motivée par le désir de trouver le juste équilibre entre, d’une part, la préservation de l’utilité des données obtenue à partir des renseignements personnels et, de l’autre, la réduction des risques d’atteinte à la vie privée associés à ces données.
- Par conséquent, plus nous augmentons l’utilité des données dépersonnalisées, plus nous ajoutons d’éléments d’information obtenus à partir des renseignements personnels et moins nous préservons l’anonymat et vice versa. Il va sans dire que la suppression de tous ces éléments dans un ensemble de données rendrait les données inutiles. Toutefois, même les renseignements dépersonnalisés présentent au moins un certain risque d’atteinte à la vie privée. En général, plus il reste d’éléments de données, plus le risque d’atteinte à la vie privée est grand. Cette nuance n’est pas prise en compte par l’approche binaire du cadre juridique actuel, surtout que l’évaluation du risque associé à la repersonnalisation n’est pas immuable (elle peut évoluer au fil du temps).
Étude comparative internationale
- Notre étude comparative par rapport aux lois sur la protection des renseignements personnels d’autres pays relatives à l’utilisation de renseignements dépersonnalisée a mis en évidence une certaine hétérogénéité en ce qui concerne la définition des renseignements dépersonnalisés et le fait de les considérer comme des renseignements personnels assujettis aux dispositions des lois nationales ou, au contraire, comme des données anonymisées qui sont en dehors du champ d’application de la loi. L’étude comparative, bien que non exhaustive, n’a recensé aucun pays qui a choisi d’inclure dans sa loi des dispositions adaptées et propres à cette catégorie de renseignements.
- En ce qui concerne l’utilisation des données sur la mobilité pour lutter contre la pandémie, l’étude comparative a montré que la plupart des pays ont intégré cette mesure dans leur réponse à la pandémie de COVID-19.
- Dans le Considérant 26 du Règlement général sur la protection des données de l’Union européenne, on stipule que les données qui ont fait l’objet d’une pseudonymisationNote de bas de page 14 doivent être considérées comme des données personnelles alors que les données anonymisées ne le doivent pas. Par conséquent, les principes entérinés dans le règlement européen s’appliquent aux données qui ont fait l’objet d’une pseudonymisation, qui peuvent être assimilées aux données dépersonnalisées des appareils mentionnées ci-dessus, et non aux données anonymisées. Par ailleurs, dans l’Avis 05/2014 sur les Techniques d’anonymisation adopté le 10 avril 2014 par le Groupe de travail « Article 29 » sur la protection des données, le prédécesseur du Comité européen de la protection des données, on indique que « [l]’anonymisation constitue un traitement ultérieur des données à caractère personnel; à ce titre, elle doit satisfaire à l’exigence de compatibilité au regard des motifs juridiques et des circonstances du traitement ultérieur ».
- Aux États-Unis, la Health Insurance Portability and Accountability Act (HIPAA) comprend 2 méthodes, soit la détermination par un expert et la règle d’exonération, que les entités concernées par la loi HIPAA peuvent utiliser pour dépersonnaliser des renseignements protégés sur la santé. Une fois dépersonnalisés, lesdits renseignements ne sont plus protégés en vertu de la loi HIPAA et peuvent être utilisés librement pour recueillir des renseignements précieux sur la santé de la population. De même, la California Consumer Privacy Act n’interdit pas aux entreprises de recueillir, d’utiliser, de conserver, de vendre ou de communiquer des renseignements dépersonnalisés ou agrégés sur les consommateurs, car elle ne considère pas ces catégories de données comme des données personnelles. Inversement, les renseignements sur les consommateurs qui ont fait l’objet d’une pseudonymisation sont considérés comme des données personnelles au titre de la loi.
- Au Royaume-Uni, l’Information Commissioner’s Office est d’avis que l’analyse des tendances généralisées des données de localisation contribue à résoudre la crise du coronavirus et que, lorsque ces données sont correctement anonymisées et agrégées, elles ne relèvent pas de la loi sur la protection des données personnelles parce qu’aucun individu n’est identifié.
- En Australie, l’Office of the Australian Information Commissioner a publié des directives sur le sujet dans lesquelles on considère la dépersonnalisation comme un outil d’amélioration de la confidentialité. De plus, il a indiqué que les renseignements qui ont fait l’objet d’un processus de dépersonnalisation approprié et rigoureux ne sont pas des renseignements personnels et qu’ils ne sont donc pas assujettis à la loi australienne sur la protection des renseignements personnels. Dans le cadre desdites directives, on a ajouté que la question de savoir si les renseignements sont des renseignements personnels ou dépersonnalisés dépend du contexte. On y indique que les renseignements sont considérés comme dépersonnalisés lorsque le risque de rétablir l’identité d’un individu visé par les données est très faible dans un contexte de communication pertinent (ou dans l’environnement d’accès aux données) et, autrement dit, ils sont considérés ainsi lorsqu’il n’y a pas de probabilité raisonnable de repersonnalisation.
- Dans ses « Advisory Guidelines on the Personal Data Protection Act for Selected Topics » (en anglais seulement), la Personal Data Protection Commission (PDPC) de Singapour considère les données qui ont été correctement anonymisées comme des données qui ne sont plus des données personnelles et, par conséquent, ne sont pas soumises aux dispositions de la loi sur la protection des données personnelles de Singapour. La PDPC précise également qu’elle n’assimile pas les données dépersonnalisées à des renseignements anonymisés.
- Par ailleurs, l’utilisation des données sur la mobilité pour analyser la dynamique de la mobilité humaine et ainsi orienter la prise de décisions dans de nombreux domaines, comme le transport et le suivi des maladies, n’est pas nouvelle. Des données sur la mobilité dépersonnalisées et agrégées ont été utilisées par le passé pour lutter contre le virus Ebola en Afrique, le virus Zika au Brésil et la grippe porcine au Mexique.
- En ce qui concerne la pandémie actuelle, les autorités sanitaires, les chercheurs et les organisations non gouvernementales de nombreuses régions à l’échelle mondiale ont tiré parti de ce type de renseignements pour définir leurs politiques visant à freiner la propagation de la COVID-19, par exemple, en Argentine, en Autriche, au Brésil, au Chili, en Chine, en Colombie, à Curaçao, en République démocratique du Congo, en Équateur, dans l’UE, en Allemagne, au Ghana, en Grèce, en Haïti, en Italie, au Japon, à New York, en Espagne, en Suède, en Pologne, au Portugal et au Royaume-Uni.
Transparence
- Des préoccupations ont été soulevées par la population canadienne au sujet du manque de transparence dans la collecte et l’utilisation des données sur la mobilité par l’ASPC. Ces préoccupations soulèvent la question importante de savoir si l’ASPC a été suffisamment transparente à l’égard du public quant à son utilisation des données sur la mobilité, et ce, malgré le fait que les données aient été dépersonnalisées et agrégées.
- Puisque l’ASPC n’a pas recueilli de renseignements personnels au sens de la Loi sur la protection des renseignements personnels, elle n’est assujettie à aucune obligation en matière de transparence au titre de la Loi. Néanmoins, nous comprenons que la position de Santé Canada et que le gouvernement a pris des mesures concrètes pour informer la population canadienne de l’utilisation des données sur la mobilité par l’ASPC. Deux exemples précis ont été cités, soit 1) le communiquéNote de bas de page 15 de presse du premier ministre du 23 mars 2020 dans lequel un appui à BlueDot a été annoncé et 2) la page Web de TendancesCOVID qui comprenait un indicateur sur l’évolution hebdomadaire de la mobilité des Canadiennes et des Canadiens. La page de TendancesCOVID avait été consultée par au moins 1,7 million de visiteurs.
- Ces mesures n’étaient pas suffisantes pour informer adéquatement la population canadienne de la façon dont ses données sur la mobilité étaient utilisées. En fait, les 2 mesures nécessitaient que les Canadiennes et Canadiens consultent de façon proactive certains sites Web pour se renseigner sur le ou les programmes. De plus, le communiqué de presse concernant le soutien à BlueDot ne mentionnait pas que celle-ci utiliserait les données sur la mobilité de la population canadienne pour effectuer ses analyses sur la maladie et qu’elle s’appuierait sur ces données pour le faire. À l’avenir, nous recommandons d’utiliser des canaux de communication plus efficaces, ciblés et accessibles afin de faire preuve d’une meilleure transparence. Des exemples de tels canaux incluent les communiqués de presse ou les conférences de presse adéquatement relayés par les médias dans lesquels on explique comment les renseignements personnels seront utilisés dans les programmes gouvernementaux.
- Le Commissaire à la protection de la vie privée du Canada à ce moment-là, M. Daniel Therrien, a nuancé que « la plupart des Canadiens dont les données ont été utilisées ne savaient pas que leurs données étaient utilisées » et il a fait remarquer que « le gouvernement et le secteur privé auraient pu déployer plus d’efforts pour informer les utilisateurs que leurs données étaient utilisées à ces fins ». Il a ajouté dans une déclaration à la suite de la publication du rapport du Comité ETHI qu’une « plus grande souplesse dans l’utilisation de données personnelles pour le bien commun, y compris à des fins de santé publique, devrait s’accompagner d’une plus grande transparence et d’une responsabilité accrue ».
- À titre de comparaison, on a opté pour des canaux différents dans d’autres projets où l’on a aussi utilisé des données dépersonnalisées et agrégées à l’appui de la recherche sur la COVID-19. Par exemple, un partenariat entre TELUS et le Conseil de recherches en sciences naturelles et en génie du Canada a été annoncé dans un communiqué publié sur le site Web de TELUS.
Conclusion
- Nous en profitons pour souligner et rappeler aux organisations publiques et privées qui utilisent ou fournissent des données dépersonnalisées plusieurs principes à prendre en compte. La plupart des éléments suivants sont conformes aux recommandations du rapport d’étude du Comité ETHI.
- Il existe un large consensus selon lequel toutes les techniques de dépersonnalisation comportent un risque résiduel d’atteinte à la vie privée qui peut augmenter au fil du temps, et que l’anonymisation est un domaine en évolution. Dans cette optique, l’organisation qui produit ou recueille des données dépersonnalisées doit continuellement évaluer la pertinence de toute technique de dépersonnalisation et des mesures de protection connexes contre la repersonnalisation. Elle doit utiliser la dépersonnalisation comme technique d’amélioration de la confidentialité et ne pas s’en servir uniquement comme moyen de se conformer aux exigences législatives.
- Bien que nous n’ayons pas examiné la question dans ce rapport, il incombe aux détenteurs de données de veiller à ce que les tiers desquels ils obtiennent des données aient eux-mêmes recueilli les données et les renseignements personnels en respectant les obligations de collecte et de consentement éclairé prévues par la loi. Les organisations qui obtiennent des données dépersonnalisées en sont donc tenues responsables et elles doivent faire preuve de diligence raisonnable au-delà du fait de veiller à ce que les données soient anonymisées et qu’elles ne relèvent pas du champ d’application des lois sur la protection des renseignements personnels.
- Les organisations publiques, comme l’ASPC, devraient être transparentes en ce qui concerne l’utilisation des renseignements dépersonnalisés et faire tout leur possible pour que le public soit au courant des situations où il y a de telles utilisations et que les individus concernés soient informés des fins auxquelles les renseignements sont utilisés, des sources des données et des mesures de protection mises en œuvre pour protéger les renseignements et maintenir l’anonymat.
- Nous recommandons également que les lois fédérales sur la protection des renseignements personnels soient modifiées dans le but d’inclure un cadre juridique clair qui définit les différents types de données dépersonnalisées et qui précise les règles qui devraient en régir la production, la conservation, l’utilisation, la communication et la collecte.
- Tout nouveau cadre juridique doit prendre en compte la particularité des données dépersonnalisées et tirer la leçon des limites du système binaire actuel qui peut être soit sous-optimal en ce qui concerne la protection des renseignements personnels, soit un obstacle aux avantages que le public pourrait tirer des mégadonnées. Le cadre peut par exemple être adapté au degré d’anonymat des données et comparer les avantages de l’utilisation de données dépersonnalisées par rapport au risque résiduel d’atteinte à la vie privée. Idéalement, il inclurait également des règles claires sur la façon de quantifier les risques résiduels d’atteinte à la vie privée et de définir des seuils acceptables pour les comparer.
- L’ASPC a accepté nos recommandations et a communiqué les mesures qu’elle a prises ou qu’elle prévoit prendre pour les mettre en œuvre :
- L’ASPC a créé un groupe de travail interne, dont fait partie la DGPRP, afin d’améliorer la transparence auprès du public au sujet de ce que l’ASPC fait avec les données qu’elle collecte.
- La DGPRP a mis au point un outil interne pour évaluer les risques liés aux données dépersonnalisées et pour déterminer si elles respectent le seuil de « forte possibilité » de repersonnalisation. La DGPRP fournit des conseils aux programmes de l’ASPC et de SC et formule des recommandations visant à atténuer ces risques et à assurer le respect de la Loi sur la protection des renseignements personnels et des politiques du Conseil du Trésor en la matière.
- L’ASPC travaille de concert avec ses partenaires pour améliorer la transparence, la confiance du public et la protection des renseignements personnels. Ce travail consiste à publier des échantillons de données et des données ouvertes, ainsi que des algorithmes utilisés pour dépersonnaliser, anonymiser et agréger les données; à utiliser et à créer des données synthétiques; à assurer la capacité de tester les mesures de confidentialité; et à améliorer les compétences techniques au sein de l’organisation afin d’effectuer efficacement ce travail.
- L’ASPC et SC veillent à faire preuve de diligence raisonnable lorsqu’ils concluent des ententes avec des tiers auprès desquels ils obtiennent des données en incluant des clauses et des mesures appropriées en matière de protection de la vie privée pour protéger à la fois les renseignements personnels et les renseignements dépersonnalisés, le cas échéant.
- Date de modification :